Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

W32/Fbound.C. ¡No ejecute ningún adjunto PATCH.EXE!
 
VSantivirus No. 616 - Año 6 - Viernes 15 de marzo de 2002

W32/Fbound.C. ¡No ejecute ningún adjunto PATCH.EXE!
http://www.vsantivirus.com/fbound-c.htm

Nombre: W32/Fbound.C
Tipo: Gusano de Internet
Alias:   W32/Fbound.c@MM, I-Worm.Zircon.c, W32.Dotjaypee@mm, W32.Impo@mm, W32/FBound-C, W32/FBound.C@mm, Win32.Fbound.C, WORM_FBOUND.B, WORM_JAPANIZE.A, W32.Impo.gen@mm, W32.Impo@mm.
Plataforma: Windows 32-bit, I-Worm.Japanize
Tamaño: 12,288 bytes
Fuentes: NAI, Symantec, Trend, Kaspersky, Sophos

Es un gusano de envío masivo de correo electrónico. No posee ninguna otra rutina maliciosa, salvo la de auto enviarse a todos los contactos de la libreta de direcciones de Windows (Windows Address Book, WAB), utilizando el protocolo SMTP mediante las funciones API de la librería Wsock32.DLL.

Puede llegar a nuestras casillas en mensajes con el asunto "Important" o con extraños caracteres (un texto en japonés, solo visible como tal si tenemos el soporte de ese idioma instalado en nuestro navegador). Esto último ocurre cuando se envía a direcciones con el sufijo .jp (Japón). En ese caso utiliza hasta 17 asuntos en ese lenguaje, seleccionando uno al azar por cada vez que se auto envía.

En los demás casos (los más comunes en los reportes de América y Europa), el asunto es uno solo: "Important".

El adjunto siempre es PATCH.EXE.

Ejemplo:

Asunto: Important (o caracteres extraños -idioma japonés-)
Texto del mensaje: (vacío)
Datos adjuntos: patch.exe

La única forma de infectarnos es abrir el adjunto. Eso ejecuta la rutina de envío masivo.

Para enviarse por correo no se copia en ningún momento al disco duro ya que hace uso de la tecnología de archivos mapeados en memoria, lo que en algunas ocasiones puede provocar que el gusano no se propague correctamente.

El gusano busca en el registro la ubicación de la libreta de direcciones, y toma las direcciones a las que se enviará de allí.

Esta información está en esta rama del registro:

HKEY_CURRENT_USER\Software\Microsoft
\WAB\WAB4\Wab File Name

Luego utiliza la configuración de la cuenta por defecto (Internet Account Manager) para enviarse a si mismo usando el servidor SMTP allí especificado (el servidor de nuestra cuenta de correo predeterminada). Esta información se guarda en las siguientes ramas del registro:

HKEY_CURRENT_USER\Software\Microsoft
\Internet Account Manager\Accounts\00000000

SMTP Email Address =
(nuestra dirección de correo predeterminada)

SMTP Server =
(dirección IP del SMTP de nuestra cuenta de correo)

El valor "00000000" varía, y se refiere al identificador de la cuenta predeterminada cuando se tienen varias.

El gusano no sigue los estándares respecto a los archivos adjuntos. Aunque codificado en base 64, todo su código ocupa una sola línea, lo que puede causar problemas en algunos servidores, clientes de correo e inclusive antivirus, propagándose en ocasiones con su código corrupto por haber sido éste truncado en alguna de las etapas del tránsito del mensaje.

El virus no modifica ninguna variable del sistema ni se agrega al registro de modo alguno, de modo que el envío de mensajes se producirá únicamente al ejecutar (con doble clic) el adjunto PATCH.EXE.

La forma de eliminarlo es borrar dicho archivo (si se descargó a alguna carpeta, ya que por si solo, no se copia en el disco para ejecutarse) y principalmente los mensajes que lo contengan.

El virus no debería ser una amenaza si aplicáramos la más elemental regla de no abrir ningún adjunto no solicitado.

La mayoría de los antivirus ya lo incluyen en sus bases de datos.

El gusano contiene en su código el siguiente texto:

XXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXI-Worm.JapanizeXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXX


Información relacionada:

VSantivirus No. 616 - 15/mar/02
Fbound.C, el virus preferido de los kamikaze del mouse
http://www.vsantivirus.com/15-03-02a.htm

VSantivirus No. 617 - 16/mar/02
W32/Fbound.B. Usa como adjunto: CHECK.EXE o IMPORTANT.ZIP
http://www.vsantivirus.com/fbound-b.htm

VSantivirus No. 618 - 17/mar/02
W32/Fbound.A. Los días jueves llena de puntos la pantalla
http://www.vsantivirus.com/fbound-a.htm

VSantivirus No. 548 - 7/ene/02
Guía de supervivencia: Consejos para una computación segura
http://www.vsantivirus.com/guia-de-supervivencia.htm


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS